Крупные технологические гиганты Apple, Google и Microsoft объявили о планах отказаться от паролей.
В четверг, который, по совпадению, является Всемирным днем паролей, технологические гиганты объявили о своем обязательстве поддерживать новый общий стандарт входа без пароля на всех своих платформах и устройствах.
Вход без пароля может быть уже знаком пользователям iPhone или Android, которые могут использовать сканирование лица или отпечатки пальцев для аутентификации платежей и входа в приложения.
Объявление, сделанное в четверг, означает, что тот же принцип вскоре может быть применен на основных платформах, включая устройства Android и iOS, компьютеры Windows и MacOS и интернет-браузеры.
«Пользователи будут входить в систему с помощью тех же действий, которые они предпринимают несколько раз в день для разблокировки своих устройств, таких как простая проверка отпечатка пальца или лица или PIN-кода устройства», — отраслевая ассоциация FIDO Alliance, которая совместно разработала общий стандарт входа без пароля сказал.
«Этот новый подход защищает от фишинга, а вход в систему будет радикально более безопасным по сравнению с паролями и устаревшими многофакторными технологиями, такими как одноразовые коды доступа, отправляемые по SMS», — говорится в сообщении.
«Чтобы войти на веб-сайт на своем компьютере, вам просто понадобится телефон поблизости, и вам просто будет предложено разблокировать его для доступа», — написал в блоге менеджер по продуктам безопасной аутентификации Google и президент FIDO Alliance Сампат Сринивас. в четверг.
«После того как вы это сделаете, вам больше не понадобится ваш телефон, и вы сможете войти в систему, просто разблокировав компьютер», — добавил он.
Что не так с паролями?
У большинства из нас постоянно растет количество различных учетных записей для приложений и онлайн-сервисов, и это часть того, что делает пароли менее безопасными, утверждают Apple, Google и Microsoft.
«Управление таким количеством паролей обременительно для потребителей, что часто приводит к тому, что они повторно используют одни и те же пароли в разных сервисах», — говорится в совместном заявлении компаний.
Теоретически вход без пароля позволяет обойти эту проблему, а также такие угрозы, как фишинговые атаки и утечка данных, путем привязки учетных данных для входа к комбинации физического устройства и уникального атрибута пользователя, такого как сканирование лица или отпечаток пальца.
Процесс работает следующим образом: когда пользователь подписывается на услугу, он отправляет запрос на его устройство, которое они одобряют так же, как разблокируют устройство. При этом создается «ключ доступа», который хранится на устройстве, и открытый ключ, который отправляется службе.
В следующий раз, когда служба отправляет запрос на вход на устройство, сканирование лица или отпечаток пальца пользователя разблокирует пароль, который затем сопоставляется с открытым ключом, предоставляя доступ.
Хотя это означает, что учетные данные для входа будут привязаны к определенным устройствам, потеря телефона не лишит вас доступа к своим учетным записям, заявил Шринивас.
«Даже если вы потеряете свой телефон, ваши пароли будут надежно синхронизированы с вашим новым телефоном из облачной резервной копии, что позволит вам продолжить с того места, на котором остановилось ваше старое устройство», — сказал он.
Регистрация без пароля
В то время как Apple, Google и Microsoft уже поддерживают вход без пароля, объявление в четверг свидетельствует о расширении этих возможностей.
В настоящее время пользователям необходимо сначала получить доступ к службе с помощью пароля, прежде чем они смогут активировать метод входа без пароля, но к концу этого года пользователи смогут регистрироваться в службах без использования пароля с первого раза. они входят в систему.
Обязательство компаний также означает, что пользователи смогут входить в приложение или на веб-сайт с помощью ближайшего мобильного устройства, независимо от того, какую операционную систему или браузер они используют, говорится в сообщении FIDO Alliance.